CIRCL/vulnerability-scores

该数据集整合了来自CVE项目、GitHub安全公告、Red Hat、CISA及Cisco等多家权威机构的CSAF数据，以及PySec安全建议，共计700,279条真实世界的漏洞记录。数据通过Vulnerability-Lookup数据库采集，并借助VulnTrain项目进行清洗与标准化处理，最终形成统一的文本与评分字段结构。

数据集覆盖了从CVSS v2.0到v4.0的多种评分标准，提供漏洞标题、英文描述、CPE标识符及补丁链接等丰富信息，支持多源标识符检索。其规模庞大、标签均衡，训练集与测试集按照9:1比例划分，为深度学习模型的训练与评估提供了坚实可靠的数据基础。

用户可通过HuggingFace的datasets库直接加载该数据集，利用漏洞标识符快速筛选特定条目。数据适用于文本分类任务，尤其是基于Transformer架构的严重性评级模型训练。相关预训练模型如RoBERTa和DistilBERT的权重已开源，便于直接进行微调与推理部署。

在网络安全领域，软件漏洞的严重性评估是漏洞管理与应急响应中的关键环节。传统上，安全专家依赖通用漏洞评分系统（CVSS）进行人工评估，这一过程耗时且易受主观因素影响。为应对这一挑战，由计算机应急响应小组（CIRCL）的研究人员Alexandre Dulaunoy与Cédric Bonhomme于2025年提出了vulnerability-scores数据集，旨在为自动化漏洞严重性分类提供大规模、多源的训练与评估基准。该数据集整合了超过70万条真实世界漏洞记录，覆盖CVE、GitHub安全公告、红帽CSAF等多个权威来源，显著提升了漏洞描述与评分数据的覆盖范围与多样性。其核心研究问题在于，能否通过基于Transformer的模型直接从文本描述中预测漏洞严重性，从而替代繁琐的人工评分流程，推动漏洞分诊的效率与一致性。该数据集支撑的VLAI模型及相关工作已发表学术论文，对自动化安全分析领域产生了重要影响。

vulnerability-scores数据集所面临的挑战主要体现在两个层面。在领域问题层面，软件漏洞严重性自动分类需克服CVSS评分标准自身的主观性与不一致性，不同来源的评分（如NVD、GitHub、红帽）常存在偏差，模型需学习从异质描述中提取通用特征以实现鲁棒预测。在数据构建层面，整合来自CVE、GitHub Security Advisories、CSAF等多个异构数据源时，面临数据格式不统一、部分描述缺失或非英文、评分版本（v2.0至v4.0）混杂等难题。此外，不同来源的漏洞标识符（如CVE、GHSA、PYSEC）需对齐与去重，确保标签一致性。数据集构建还需处理高频更新的漏洞流，保持数据时效性，并设计合理的训练/测试分割以避免数据泄露，这些均构成工程与算法上的显著挑战。

在网络安全与软件工程交叉领域，该数据集最经典的使用场景是基于自然语言描述的漏洞严重性自动分类。研究者通常利用其中超过七十万条真实漏洞条目，涵盖CVE、GitHub安全公告、CSAF等多源异构数据，配合文本与数值型CVSS评分字段，训练如RoBERTa等预训练语言模型，使其能够从漏洞标题与描述中自动推断出风险等级，从而替代传统手动评估流程。

在实际安全运营中，该数据集支撑了漏洞分流与优先级排序系统的部署。安全团队可调用基于此数据微调的模型，对每日新增的成百上千份漏洞报告进行实时严重性评级，自动标记高危条目并触发应急响应流程。此外，数据还可集成于DevSecOps流水线，在代码审查或依赖扫描阶段，依据漏洞描述动态评估引入风险，辅助开发者做出快速、一致的修复合资决策。

该数据集直接催生了多个衍生工作，其中包括CIRCL团队相继发布的RoBERTa与DistilBERT漏洞严重性分类模型，分别在不同效率需求场景下提供推理服务。围绕数据集构建的VulnTrain训练流水线与ML-Gateway推理API，为社区提供了可复现的基准流程。同期发表的VLAI论文系统验证了该数据在自动化严重性分类任务中的有效性，并开源配套工具链，促进了数据驱动漏洞研究的持续演进。